Заместитель директора ИСИБ ТУСУР: «Защита персональных данных становится первостепенной задачей для любой организации»

Дело в том, что по Федеральному закону, первоначально ориентированному только на защиту коммерческих структур, все организации, осуществляющие автоматизированную обработку персональных данных граждан, должны будут к 1 января 2011 года уведомить уполномоченный орган о деятельности в качестве операторов персональных данных. Спектр деятельности этих организаций чрезвычайно широк, - объясняет заместитель директора института Роман Валерьевич Мещеряков:

- Фактически, это любая организация, где бухгалтерия ведется в электронном виде, поскольку в таком случае при начислении заработной платы сотрудникам приходится обрабатывать персональные данные - номер страхового полиса, номер индивидуального пенсионного лицевого счета, индивидуальный номер налогоплательщика и паспортные данные. Более серьезное отношение к защите информации возникает в организациях, которые располагают дополнительными сведениями о состоянии здоровья человека, о национальной, религиозной принадлежности.

Безусловно, такие организации, как Отделения Пенсионного фонда, инспекции налоговой службы, подразделения ЗАГС, которые обязаны собирать сведения, давно работают в рамках существующих законов, а деятельность банков регулируется национальными стандартами и руководящими документами Банка России.

Во всех остальных случаях, подчеркивает Роман Валерьевич, мы имеем право не давать никаких сведений о себе, превышающих фамилию, имя, отчество. Однако, каждому хочется получать зарплату на банковскую карточку, поэтому приходится предоставлять и паспортные данные, и номер пенсионного, страхового полиса организации-работодателю. При оформлении туристической путевки мы также предоставляем турагентству свои персональные данные.

- Организации, обрабатывающие чужие данные, обязаны защищать их от возможных несанкционированных действий – от разрушения, передачи сведений и т.д. не хуже тех, кто эти данные собирает, - замечает заместитель директора ИСИБ. - И если в одном случае можно ограничиться организационными мерами, допустим, взять подписку о неразглашении получаемых сведений с человека, который обрабатывает персональные данные, в более серьезных ситуациях требуются дополнительные средства для предотвращения перехвата информации по электромагнитным каналам, чтобы никто не мог снять сведения с компьютера и просмотреть. К последним организациям можно отнести миграционные службы, муниципальные и частные поликлиники, стоматологические центры.

Для того, чтобы понять, что нужно защищать и какие данные обрабатывает организация, сотрудники ИСИБ проводят предпроектное обследование, после чего – выполняют проект по защите персональных данных. Институт уже выполнил проекты для ЗАГСа Томской области, ОАО «Томск НИПИ нефть», СХК, Томскпромстройбанка и др. Сейчас выполняется проект по защите персональных данных Администрации Томской области.

Еще одно направление деятельности ИСИБ ТУСУР – проведение консультационных семинаров, посвященных мероприятиям по защите персональных данных в организации. Оказывается, при защите информации учитываются и такие факторы, как материал, из которого сделаны двери, установленные в кабинетах, и угол поворота компьютера сотрудника – все эти и другие организационные вопросы подробно рассматриваются на курсах. Семинары сотрудники ИСИБ ТУСУР проводят как в Томской, так и в соседних областях: в октябре этого года серия занятий была организована и проведена для специалистов Кемеровской области.

- И если раньше многие организации не предпринимали никаких действий по защите информации, в настоящее время они спешат принять необходимые меры, - рассказывает Роман Валерьевич. – С января 2011 года любая проверяющая организация: управление Роскомнадзора по Томской области, Управление Федеральной службы по техническому и экспортному контролю по Сибирскому федеральному округу, Управление Федеральной службы безопасности по Томской области имеет право в рамках своих полномочий провести проверку. Уже сегодня они интересуются, как ведется подготовка, особенно на критических организациях, тех, которые требуют защиты – это больницы, органы государственной власти.

Ответственность при невыполнении требований закона достаточно серьезна. Сегодня наказание несет только тот, кто совершил неправомерный доступ к чужим данным, с 1 января административную и даже уголовную ответственность будут нести представители организаций, в том случае, если будет доказано, что организация обрабатывала сведения с нарушением законодательства.

- Вопросы о том, нужно ли так серьезно относиться к защите персональных данных возникают до той поры, пока человек сам не попадает в сложную ситуацию, когда, например, на него оформляют банковский кредит или без его ведома вписывают поручителем. Еще более серьезная ситуация возникает, когда дело касается врачебной тайны. В большинстве случаев пациенты против распространения информации о своем заболевании, тем более, если оно является социально значимым (СПИД, туберкулез, онкология и т.п.). Для любой организации, имеющей дело с персональными данными, защита этой информации должна быть как само собой разумеющееся. И даже подпись человека, передающего свои персональные данные и согласного на их обработку, не снимает ответственности с тех, кто будет эту обработку осуществлять.